「VMware Aria」は、2022年9月に発表されたマルチクラウドでのアプリケーションとインフラ、サービスを共通データモデルで単一プラットフォームに統合・管理するソリューションのブランドだ。ネットワールドでは、VMware Ariaのラインアップのひとつである「VMware Aria Automation for Secure Clouds」の導入支援サービスを2023年2月から開始している。同社のSI技術本部ソリューションアーキテクト課 部長代理の工藤真臣氏に、クラウド管理に潜むセキュリティリスクと、VMware Aria Automation for Secure Cloudsを使った運用管理のベストプラクティスについて聞いた。
株式会社ネットワールド
SI技術本部ソリューションアーキテクト課 部長代理
工藤 真臣 氏
パブリッククラウドの設定不備で自覚なく情報漏えい?
クラウドサービスの利用が浸透し、さまざまな企業が目的に応じ、プライベートクラウド、パブリッククラウドと複数のインフラ環境を利用するようになった。しかし、複数のクラウド環境の運用において、サービスごとのサイロ化が課題となっている。
株式会社ネットワールドSI技術本部ソリューションアーキテクト課 部長代理の工藤 真臣氏は、「これまで、パブリッククラウドの設定の不備が原因で、自覚なく情報漏えいをしてしまう事例があり、ベンダーからの連絡で発覚するなど、気づくのは難しい状況にあります。ランサムウェア対策のように、外部の脆弱性診断サービスを求める声も多いです」と、パブリッククラウド運用に潜むリスクについて説明をする。
政府でもこうした事象を重く受け止め、総務省がクラウド利用におけるガイドラインを公表。そこには、クラウドサービスの場合、オンプレミスと違ってサービス事業者と利用者の責任分界点が異なることや、設定項目ごとの設定不備のおけるリスクなどが示されている。また、総務省では推奨するセキュリティ対策として、セキュリティゲートウェイであるSASE(Secure Access Service Edge)やCSPM (Cloud Security Posture Management)などの監視サービスの利用を促している。
設定不備をリアルタイムに検出して自動制御
上述したパブリッククラウドにおける運用管理リスクを解消すべく、VMwareでは、これまでの関連製品を新ブランド「VMware Aria」として統一し、コスト、運用、自動化をトータルで支援すると発表。そのラインアップの中で自動化のカテゴリにあたるのが「VMware Aria Automation for Secure Clouds」だ。これは、クラウドサービスにおけるリソースの状態や構成エラー、脆弱性などのリスクを可視化・分析・管理できるソリューションである。
総務省が推奨するCSPMは、いわば予防措置ともいえる対応であるが、設定自体に不備がある場合には適正な設定に戻すアプローチが求められる。そのアプローチを実現するのが、パブリッククラウドの設定不備をリアルタイムに検出し自動制御に行うVMware Aria Automation for Secure Cloudsだ。これにより、セキュリティ設定ミスや、ベースとなるセキュリティのベンチマーク標準ポリシーに準拠しているかを継続的にチェックし、修正することが可能になる。
「ベンチマーク標準のドキュメントによると、常時監視とリアルタイム検知が特に重要であると示しています。マルウェア対策と同様で、導入時に1度スキャンしたら終わりでなく、常にチェックする必要があるのです。パブリッククラウドの迅速な導入・拡張が可能な利便性を生かしつつ人が24時間365日監視・検知し続けるのは現実的ではないので、各種ポリシーを守り、運用を続けられる体制を作るために運用支援のツールを利用するのは、もはや必須といえます」(工藤氏)
より早く設定不備を検知し、相関性を明らかにして、迅速に修正アクションを提案
豊富な標準ポリシーへの対応とリスクの優先付けで迅速な修正アクションへ
VMware Aria Automation for Secure Cloudsでは、まず管理する資産(リソース)の設定をすべて確認し、その後は設定変更のアクティビティを監視してリアルタイムにリスク監視を行う。AWS、Azure、GCPといったパブリッククラウドサービスの各種標準ポリシーに準拠しているかを見つけ、リスクを低減させることができる。事前に定義されたクラウドセキュリティとコンプライアンスのベストプラクティスが1,000以上もあるのも強みのひとつだ。
また、Webアプリケーションによる管理画面から、リソースの状態や検知された違反をダッシュボードで可視化できる。時系列での変化も確認できるので、原因の特定もしやすい。このような一元管理はメリットになるが、管理者の中には、「大量の違反が報告されると、どれから対処すべきかわからなくなる」「そもそも問題の対処方法がわからない」といった悩みを持つ人もいることだろう。VMware Aria Automation for Secure Cloudsでは、リスクスコアが高いものを優先度順にリスト化し、さらに、推奨する修正アクションを合わせて提案するため、最小限の負担でリスクに対処にあたれるはずだ。一部の修正アクションは検出と同時に自動で改善することも可能である。さらに、ローコードで企業独自のカスタムルールを作成する機能もある。
ダッシュボードやグラフ、分布図などを用いて直感的に問題点を可視化
アラート/レポート機能も有しており、アラートはメールだけでなくSlackやMicrosoft Teamsなどのチャットツールとも連携可能で、利用状況のレポートはメールで送信される。またイベント管理製品やAmazon S3を介することでセキュリティイベントの一元管理のための連携も可能である。アラートに関しても対象となるリソースは特定の領域のみ指定するなど、柔軟に設定できる。
「AWSを使った事例もあり、ある企業でクラウドストレージであるAmazon S3のバケットが機密情報を扱うため、パブリックアクセスを許可してはいけないというポリシーを設定し、違反を検出することにしました。その結果、パブリックアクセスにする設定変更から10秒ほどでポリシー違反が検出され、一部の設定についてはわずか数秒で自動修正できました。このように、VMware Aria Automation for Secure Cloudsを活用することで、脅威の捕捉と脆弱性を特定、そして迅速な改善を実現し、ひいてはビジネスの健全性を保つことが可能になるのです」(工藤氏)
VMware Ariaブランド製品との連携にも期待
ネットワールドでは、2023年2月からVMware Aria Automation for Secure Cloudsの導入支援サービスを開始しており、いくつかの顧客は実証を済ませている。「複数の製品を見られたお客様から、検出や修復のスピードが速いと評価をいただいています」と、工藤氏は話す。
IT担当者にとっては、マルチクラウド環境の管理をしやすくするソリューションであるが、設定不備による情報漏えいは、信用失墜などビジネスにあたえる影響も大きい。企業が信頼を失わずビジネスを継続するには、このような運用ツールの利用は必須となるだろう。
「VMware Aria Automation for Secure Cloudsは、まだ登場したばかりのソリューションですが、今後、VMware Ariaサービスとのさらなる連携やパートナー向けのサービスも開始されるようになると、どんどん強みが増えていくと思っています。自社のクラウド設定やセキュリティに不安をお持ちの方はぜひネットワールドにお声がけください」(工藤氏)
【講演動画】VMwareにマルチクラウドの運用管理はできるのか?! 
ビジネスはマルチクラウドで標準化される